È stato pubblicato in Gazzetta ufficiale del 6 aprile la legge di conversione del decreto sulle semplificazioni (D.L. 5/2012), che ha eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) al 31 marzo di ogni anno, per i titolari del trattamento che gestiscono dati sensibili con strumenti elettronici.
Il DPS costituiva di fatto una radiografia di ciò che veniva fatto in termini di protezione dei dati personali trattati in azienda ed era pertanto una base di partenza nei controlli che venivano effettuati dalla Guardia di Finanza.
Ma la privacy non era il DPS, quindi cosa rimane? Certamente viene meno una delle incombenze, ma sicuramente sono ancora valide tutte le regole dettate dell’art. 34 del Codice Privacy e dall’Allegato B (tranne quelle che si riferivano al DPS), che restano applicabili. È importante fare attenzione a questo aspetto, in quanto rimangono in essere tutti i requisiti minimi che questa normativa prevede con le relative conseguenze civili e penali in caso di mancato adeguamento.
I Titolari del trattamento dovranno continuare ad adottare le seguenti misure:
a) l’autenticazione informatica;
b) adozione di procedure informatiche per la gestione delle credenziali di autenticazione;
c) utilizzo di un sistema di autorizzazione all’accesso dei dati;
d) aggiornamento periodico dell´individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – fornire istruzioni chiare e formarli laddove necessario per l’effettiva protezione dei dati;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza (back up), il ripristino della disponibilità dei dati e dei sistemi.
Pertanto le aziende dovranno avere una documentazione simile al DPS, che attesti l’adozione delle numerose misure minime di sicurezza che il Codice privacy continua ad imporre. Ricordo che rimangono in vigore i Provvedimenti emanati dal Garante (Videosorveglianza, Amministratore di Sistema).
Sussisterà l’obbligo in caso di controllo di esibire il DPS 2011? Non ci sono indicazioni. È pur vero però, che per quelle società tenute alla relazione accompagnatoria al bilancio, che al 31 marzo 2011 hanno dovuto render conto dell’aggiornamento del DPS, potrebbe oggi essere richiesto in sede di controllo, l’esibizione del vecchio DPS. È quindi raccomandabile conservare l’ultima versione redatta del DPS a dimostrazione di aver adempiuto correttamente all’epoca della vigenza dell’obbligo medesimo.
Inoltre, arriverà una rivoluzione a livello europeo della normativa privacy. Sarà emanato un Regolamento Comunitario che andrà a sostituire la normativa europea di riferimento (la direttiva 95/46 CE del 1995). A tal proposito precisiamo che: a differenza delle Direttive Europee che si limitano a definire linee guida, lasciando la facoltà di provvedere con una normativa propria, i Regolamenti Comunitari godono di un’applicazione immediata e diretta sugli Stati membri. L’emanando Regolamento si rappresenta come una vera e propria innovazione, perché oltre ad uniformare le regole a livello europeo, renderà molto più incisive le norme in tema di tutela dei dati personali.
Molte procedure previste dal nuovo Regolamento Europeo riguarderanno quanto già visto nella stesura del DPS e di conseguenza le aziende dovranno redigere al proprio interno un Disciplinare tecnico di procedure di gestione della privacy per la creazione di una vera e propria Policy Privacy.
Abolito il DPS? Diciamo che uscito dalla porta rientrerà dalla finestra.